Oppskrift mot nye skandaler?
Datatilsynet etter IKT-skandalen i Helse Sør-Øst: – Vi ønsket å se risikovurderingen for prosjektet. Det hadde de ikke.
Kan nye og strenge regler stoppe nye dataskandaler – som den vi så da Norges største helseforetak satte utlendinger til å drive datasystemet med sensitive personopplysninger?
Denne artikkelen er over fem år gammel og kan inneholde utdatert informasjon.
Ulike og til dels utdaterte IKT-systemer gjør hverdagen komplisert og tungvint for både pasienter og ansatte i sykehussektoren. De fleste er derfor enige om at informasjonsflyten kan bli bedre. Hvordan dette skal skje, er det derimot delte meninger om.
Helse Sør-Øst (HSØ) prøvde høsten 2016 å løse floken ved å sette ut både utvikling, endring og drift av hele IKT-infrastrukturen til et stort, utenlandsk IT-selskap. Det skulle vise seg å bli alt annet enn problemfritt.
– Det var et ensidig fokus på økonomi og manglende fokus på risikovurdering i forkant av avgjørelsen. Det ble heller ikke jobbet fram noe reelt og oppdatert alternativ, sier Svein Øverland, konserntillitsvalgt for Fagforbundet i Helse Sør-Øst.
(Artikkelen fortsetter under bildet)
– I mai 2017 vil Helse Sør-Øst i praksis være i lomma på Hewlett Packard
kke mulig å få til samarbeid
Han mente forarbeidet var mangelfullt, og etterlyste gjentatte ganger et alternativ til tjenesteutsetting. Da det ikke skjedde, brukte en gruppe ansatte egen fritid på å jobbe fram et konsept basert på allerede igangsatte prosjekter, der sikkerheten var satt i førersetet. Forslaget ble forkastet av ledelsen i helseforetaket da et eksternt byrå mente forslaget ikke var nok gjennomarbeidet.
– Det er veldig spesielt at det ikke var mulig å få til et samarbeid om dette, sier Øverland.
Han ble den eneste i Helse Sør-Øst-styret som stemte nei til forslaget om å sette ut IKT-tjenesten.
Ulike versjoner om datatilgang
I november 2016 skrev helseforetaket under kontrakten med den amerikanske IT-giganten Hewlett Packard Enterprise. Et halvt år senere avslørte NRK at titalls IT-arbeidere i Bulgaria og Asia har hatt tilgang til sensitiv pasientdata til over halvparten av Norges befolkning. Dette var stikk i strid mot hva som ble forklart for styret, nemlig at de som skulle overta driften av IKT-infrastrukturen, ikke skulle ha tilgang til pasientdataene.
– Den dialogbaserte anskaffelsen var preget av stor grad av hemmelighold, med henvising til at det gjaldt forretningshemmeligheter. Videre var det ikke nok kontakt med egne fagfolk, og det ble ikke utført gode nok risikovurderinger. Mange av de ansatte visste hele veien at de utenlandske IT-arbeiderne ville få tilgang til disse pasientdataene, sier Øverland.
Stortingspolitikere advarte: – Outsourcingen av IT ved Helse Sør-Øst er en gigantisk tabbe
– Må rydde i eget hus først
Han hadde selv løpende kontakt med ansatte i Sykehuspartner, foretaket som er databehandler og leder prosjektet. De kunne fortelle at det ikke var mulig å gi IT-arbeidere tilgang til infrastrukturen uten å samtidig gi tilgang til pasientdataene. Øverland mener moderniseringsprosjektet er høyst nødvendig, men er overbevist om at sikkerheten best overholdes innenfor helseforetakenes egne vegger.
– Du må rydde i eget hus før du skal sette ut noe. Når du har stålkontroll, kan du vurdere å sette ut deloppgaver. Men her var tanken å sette ut hele IKT- infrastrukturen uten å ha ryddet først. Da øker risikoen betydelig, sier han.
Ikke god nok risikovurdering
Det var ikke bare Fagforbundets hovedtillitsvalgte som tidlig så faresignalene ved utflaggings-prosjektet. Høsten 2016 mottok Datatilsynet flere bekymringsmeldinger fra ansatte og pasienter ved sykehuset, som fryktet at tjenesteutsettingen ville gå ut over personvernet og datasikkerheten ved foretakene.
– På grunnlag av disse meldingene ba vi om å få et møte med ledelsen i Helse Sør-Øst. Vi ønsket å se risikovurderingen for prosjektet. Det hadde de ikke. Ikke den typen vi mener de burde ha, sier Grete Alhaug, seniorrådgiver i Datatilsynet.
Fikk rekordbot
I løpet av det påfølgende året gransket Datatilsynet Helse Sør-Østs milliardprosjekt. Den endte med hard kritikk og en bot på 800.000 kroner til hvert av sykehusene. Med en totalsum på 7,2 millioner kroner er det den største boten Datatilsynet noen gang har gitt.
I en 33 sider lang rapport konkluderer tilsynet med at helseforetakene har brutt flere paragrafer i pasientjournalloven og personopplysningsloven. Spesielt legges det stor vekt på at ledelsen ikke grundig vurderte risiko og konsekvenser for personvern.
– Også etter gjeldende lovgivning skal man gjøre risikovurderinger, spesielt når det gjelder en så stor beslutning som denne. Å sette ut driften av hele infrastrukturen er en veldig stor endring sammenlignet med å ha kontrollen selv. Samtidig samler man veldig mye pasientdata på ett sted. Den totale risikoen blir da stor, sier Grete Alhaug.
Ny forordning ville gitt diskusjon
General Data Protection Regulation (GDPR) inneholder en egen bestemmelse om hvordan virksomheter skal utrede konsekvenser for personvern. Hadde tjenesteutsettingen blitt vurdert opp mot denne, tyder mye på at dagens situasjon ville vært en annen. Alhaug presiserer at hun ikke kan vurdere skandalen i HSØ etter en lov som enda ikke er innført, men sier dette:
– Tjenesteutsetting i dette omfanget ville etter det nye regelverket utvilsomt ha utløst en plikt til å gjøre konsekvensutredninger på risiko og personvern i forkant. Det ville sannsynligvis også utløst en ny bestemmelse i GDPR om å gjennomføre forhåndsdrøftelser med Datatilsynet.
I EUs nye forordning blir det tydelig beskrevet at man skal gjennomføre en risikovurdering og deretter en personvernkonsekvensvurdering. Det står også i hvilke tilfeller vurderingene skal gjennomføres og hva de skal inneholde. I tillegg pålegges virksomheten å høre de som blir berørt av den planlagte behandlingen, når dette er nødvendig for å sikre deres interesser.
Alhaug presiserer at Datatilsynet ikke er mot tjenesteutsetting, eller at den nye forordningen vil umuliggjøre slike tiltak i framtiden. Men hun mener at den oppskriftsmessige måten loven er utformet på gir mindre rom for droppe å vurdere konsekvenser for informasjonssikkerhet og personvern.
– Det nye regelverket er et stort løft for personvernet og borgernes rettigheter. Mindre er overlatt til tilfeldighetene og det er mindre rom for skjønn. Dette er en annen måte å gi lov på enn vi er vant til i Norge fra før, sier hun.
- Økonomi foran personvern
Datatilsynets rapport bekrefter Svein Øverlands oppfatning om at det har vært mangelfull kommunikasjon mellom ledelsen i HSØ, helseforetakene og Sykehuspartner. Dette har ført til motsatt oppfatning om hvorvidt de utenlandske arbeiderne må ha tilgang på pasientdataene eller ikke for å utføre jobben med å modernisere og drifte IT-infrastrukturen.
– Det er jo et symptom på at personvern ikke har blitt tilstrekkelig diskutert i styrerommet. Dette er jo et fordyrende punkt. Ut fra det vi har fått av dokumentasjon, ser det ut til at beslutningene som ble tatt, i hovedsak handlet om å nå definerte mål om effektivisering og modernisering innenfor en gitt kostnadsramme, sier Alhaug.
Anbefaler store spørsmål før igangsetting
Hun mener at man må stille flere grunnleggende spørsmål før man setter i gang anskaffelsesprosessen. Å vente med risikovurdering til etter at prosjektet er igangsatt, holder dermed ikke.
– Ett spørsmål er om man i det hele tatt kan sette ut absolutt alt, slik Helse Sør-Øst har gjort, eller om man bør beholde deler av systemet innenfor virksomhetens kontroll. Svarene man får, bør legge føringer for utlysningsteksten, sier hun.
En av de mest konkrete endringene fra dagens regelverk er størrelsen på bøtene Datatilsynet kan gi. Boten på 7,2 millioner kroner som ble fordelt utover ni av helseforetakene i HSØ blir bare småtteri sammenlignet med bøtenivået den nye forordningen gir. Der er taket satt til 20 millioner euro, eller fire prosent av virksomhetens samlede årlige omsetning, altså den summen som blir størst.
